Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

224
Приложение А. Основы IP-адресации и маршрутизации
Приведенные в составе рисунка Рис. А.10 таблицы маршрутизации изделий защиты в смысловом содержании адекватны традиционным таблицам маршрутизации, приведенным под схемой на Рис. А.9, и отличаются только компактностью и удобством формы представления.
Примеры формирования маршрутных таблиц интерфейсов изделия
Ниже приведен ряд примеров формирования маршрутных таблиц интерфейсов блоков маршрутизации изделий для различных схем включения изделия в состав ЗСПД. При формировании маршрутных таблиц использованы следующие правила.
1. Для сетевых Ethernet-интерфейсов первым обязательно должен быть указан прямой маршрут, содержащий адрес локальной сети, к которой непосредственно подключен интерфейс. В качестве значения поля Шлюз такого маршрута должно быть задано значение 0.0.0.0.
2. При указании косвенных маршрутов адреса шлюзов должны быть выбраны только из множества
IP-адресов, имеющих прямую маршрутизацию через данный интерфейс.
3. Для двухточечных интерфейсов (PPP, SLIP, CSLIP) косвенная маршрутизация не используется, поэтому поле Шлюз для всех маршрутов таких интерфейсов должно иметь значение 0.0.0.0.
Прямая маршрутизация
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
Рис. А.11 Пример настройки схемы обмена с прямой маршрутизацией IP-датаграмм
Косвенная маршрутизация
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
192.168.2.0/24 192.168.1.254 0
Рис. А.12 Пример настройки схемы обмена с косвенной маршрутизацией IP-датаграмм

Приложение А. Основы IP-адресации и маршрутизации 225
Работа с внешним маршрутизатором
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
0.0.0.0 192.168.1.254 0
Рис. А.13 Пример настройки схемы обмена с внешним маршрутизатором
Работа с двумя сетями и внешним маршрутизатором
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
Адрес
Шлюз
Метрика
Lan2 192.168.2.0/24 0.0.0.0 0
0.0.0.0 192.168.2.254 0
Рис. А.14 Пример настройки схемы обмена с двумя сетями и внешним маршрутизатором

Приложение Б. Интерфейсы с агрегированием каналов связи
Агрегирование (объединение) каналов связи. Физическими интерфейсами изделий нового поколения поддерживается функция агрегирования каналов связи (Link Aggregation) – возможность организации обмена данными через сетевой интерфейс, связанный одновременно с несколькими Ethernet-адаптерами маршрутизатора. Делается это для того, чтобы организовать передачу единого потока данных не через один, а через несколько Ethernet-адаптеров с целью увеличения пропускной способности тракта передачи данных или для повышения надежности его работы.
В процессе настройки всех физических интерфейсов изделия – и Ethernet-интерфейсов (обработка потоков
IP-датаграмм на L3-уровне), и L2–Eth-интерфейсов (обработка Ethernet-кадров на L2-уровне) – осуществляется привязка настраиваемого интерфейса, как минимум, к одному Ethernet-адаптеру маршрутизатора.
Осуществляется эта привязка путем указания в настройках интерфейса значения параметра Номер порта (см. бланк настройки дополнительных параметров Ethernet-интерфейса – Рис. 2.9, с. 29 или бланк настройки дополнительных параметров физического L2–Eth-интерфейса – Рис. 2.16, с. 34, а также раздел
Приложение Ж
, с. 253).
На Рис. Б.1 приведен пример схемы организации связи изделия с сетевым устройством по агрегированным каналам связи.
Рис. Б.1 Пример схемы организации связи изделия с сетевым устройством по агрегированным каналам связи
Процесс организации взаимодействия изделия с сетями передачи данных упрощенно можно представить в виде следующих технологических этапов:
- на стадии подготовки изделия защиты к работе администратор изделия должен выполнить настройку работы тех сетевых интерфейсов, которые будут задействованы в предстоящей работе изделия
(количество Ethernet-адаптеров в изделии может превышать потребности для реальной работы изделия на объекте эксплуатации; для экономии ресурсов и вычислительных мощностей изделия администратор может настраивать (задействовать) не все средства связи изделия);
- настройка сетевого интерфейса предполагает ввод администратором ряда значений параметров интерфейса, которые будут сохранены в составе конфигуратора изделия; одним из параметров настройки интерфейса является параметр Номер порта, определяющий конкретный Ethernet-адаптер (конкретные Ethernet- адаптеры), через который (которые) будет осуществляться весь обмен данными между изделием и каналом связи (каналами связи) по этому интерфейсу (подробнее о выборе значения параметра Номер порта см. раздел
Приложение Ж
, с. 253);
- на стадии инициализации работы изделия программа управления его функционированием для каждого задействованного в предстоящей работе Ethernet-адаптера изделия создает логическую структуру –
интерфейс – которая будет использована изделием в дальнейшей работе для обеспечения логического взаимодействия маршрутизатора изделия с конкретным каналом (каналами) связи; при этом собственно
физическое взаимодействие интерфейса с каналом (каналами) связи (включая необходимый контроль формата принимаемых кадров, качества их передачи по каналу связи и пр.) осуществляется с помощью
единственного порта Ethernet-адаптера – наиболее часто встречающийся типовой вариант функционирования сетевого интерфейса – или с помощью их множества – специальный вариант применения интерфейса, использующего преимущества механизма агрегирования каналов связи.
В результате выполненной работы будет установлен обмен данными между маршрутизатором и ближайшим сетевым устройством-партнером, иллюстрируемый рисунком Рис. Б.2. На нем приведены два возможных варианта организации обмена данными. Вариант а) иллюстрирует фрагмент тракта передачи данных, организованного с помощью единственного порта Ethernet-адаптера (без использования механизма агрегирования каналов связи). Вариант б) иллюстрирует фрагмент тракта передачи данных, организованного с помощью множества (более одного) портов Ethernet-адаптеров (с использованием механизма агрегирования каналов связи).
Таким образом, предварительно настроив интерфейс марщрутизатора изделия, обеспечивающий работу механизма агрегирования каналов связи, можно, соединив разъемы (гнезда) портов Ethernet-адаптеров, участвующих в работе этого интерфейса, параллельными кабелями (линиями связи) с соответствующими

Приложение Б. Интерфейсы с агрегированием каналов связи 227
разъемами (гнездами) сетевого устройства-партнера (см. Рис. Б.1 и Рис. Б.2), зеркально настроенного на работу по агрегированным каналам связи, получим между маршрутизатором изделия и сетевым устройством- партнером тракт для передачи единого потока данных повышенной пропускной способности, повышенной надежности или рассредоточенного (сбалансированного) по каналам связи, участвующим в агрегировании.
Примечание. В качестве сетевого устройства-партнера может применяться ближайшее в сети аналогичное изделие защиты или ближайшее в сети сетевое устройство, работа которого может быть организована в режиме агрегирования каналов связи с применением алгоритмов агрегирования, аналогичных поддерживаемым изделием. a) вариант обмена без агрегирования каналов связи б) вариант обмена с агрегированием каналов связи
Рис. Б.2 Схема организации обмена данными между маршрутизатором изделия и сетевым устройством
Технологии передачи единого потока данных через интерфейсы изделия с использованием механизма агрегирования каналов связи могут применяться для достижения одного из следующих результатов:
- повышение пропускной способности тракта передачи данных (путем загрузки передаваемого через дополнительные каналы связи трафика);
- повышение надежности тракта передачи данных (путем резервирования технических средств передачи данных между передающей и принимающей сторонами – резервирования Ethernet-адаптеров, кабелей, разъемов и пр.);
- управление балансировкой трафика, передаваемого через конкретный канал связи, участвующий в агрегировании, в зависимости от характеристик передаваемых в трафике пакетов данных.
Понятно, что для получения эффекта повышения пропускной способности тракта передачи данных следует использовать алгоритмы равномерной загрузки всех имеющихся агрегированных каналов связи интерфейса.
Если целью применения интерфейса с агрегированием каналов связи является повышение надежности тракта передачи данных, следует применять другие алгоритмы, учитывающие следующее: первый в списке агрегированных каналов связи интерфейса объявляется ведущим, через него с момента начала работы интерфейса выполняется обмен трафиком до тех пор, пока на этом канале присутствует сигнал несущей частоты (сигнал LINK); как только работа ведущего канала связи нарушается, пропадает сигнал несущей (а это означает, что пропадание сигнала несущей – сигнала LINK – идентифицирует и сетевое устройство-партнер) и обмен трафиком переводится обеими сторонами на альтернативный канал связи.
Теория вопросов агрегирования каналов связи хорошо проработана, на практике широко применяются разнообразные методы оптимального с точки зрения различных критериев статического и динамического управления использованием интерфейсов с объединением (агрегированием) дополнительных каналов связи.
Из всего множества этих методов в изделиях нового поколения применяется несколько сравнительно простых методов, ограниченных следующими условиями:
- поддерживаются только методы
статического управления использованием интерфейсов с агрегированием каналов связи;
- во всех применяемых методах используется только статическое управление использованием интерфейсов с агрегированием каналов связи

228
Приложение Б. Интерфейсы с агрегированием каналов связи
- объединяемые в интерфейсе каналы связи должны быть одинаковыми как по физической природе (среде передачи данных), так и по пропускной способности как у изделия, так и у сетевого устройства-партнера
(коммутатора, маршрутизатора, аналогичного изделия защиты и пр.);
- на сетевом устройстве-партнере должны быть выполнены настройки, зеркальные по отношению к выполненным настройкам интерфейсов изделия с агрегированием каналов связи;
- используются три алгоритма управления работой интерфейсов с агрегированием каналов связи:
round-robin, balance-xor, active-backup.
Настройка физического интерфейса на работу в режиме объединения (агрегирования) каналов связи выполняется при настройке значения параметра Объединение с помощью бланка настройки дополнительных параметров Ethernet-интерфейса (Рис. 2.9, с. 29) или бланка настройки дополнительных параметров физического L2–Eth-интерфейса (Рис. 2.16, с. 34).
Выбор алгоритма распределения для интерфейсов, работающих в режиме объединения (агрегирования) каналов связи, выполняется при настройке значения параметра Алгоритм распределения с помощью экрана настройки параметров механизма агрегирования каналов связи интерфейсов (см. Рис. 2.10, с. 29).
Приведенное ниже (в общих чертах) описание работы каждого из поддерживаемых изделием алгоритмов распределения трафика по агрегированным портам (каналам связи) сетевых интерфейсов изделия поможет администратору остановиться на наиболее подходящем алгоритме.
Примечание. Отметим, что для принятия решения о выборе оптимального алгоритма, подходящего к конкретным условиям эксплуатации изделия, приведенного описания будет недостаточно, т.к. только администратор владеет информацией о структуре обрабатываемого изделием трафика, генерируемого приложениями. Различные приложения по-разному реагируют на результаты передачи трафика, получаемые с помощью разных алгоритмов распределения. Только обладая информацией о трафике, передаваемом между приложениями, администратор может отдать предпочтение тому или иному из приведенных алгоритмов.
Алгоритм ROUND-ROBIN. Алгоритм применяется в случае, когда интерфейс с агрегированием каналов связи применяется в целях повышения пропускной способности тракта передачи данных между изделием и сетевым устройством-партнером. Работа алгоритма направлена на обеспечение равномерной загрузки всех имеющихся агрегированных каналов связи интерфейса, с его помощью осуществляется циклическая (по кольцу)
последовательная загрузка каждого из охваченных агрегированием каналов связи интерфейса очередной поступившей для обработки интерфейсом порции информации (Ethernet-кадра).
Допустим, что интерфейс объединяет (агрегирует) два порта (канала связи) маршрутизатора изделия – основной и дополнительный. Основной порт интерфейса указывается при настройке значения параметра Номер порта с помощью бланка настройки дополнительных параметров Ethernet-интерфейса – Рис. 2.9 (с. 29) или бланка настройки дополнительных параметров физического L2–Eth-интерфейса – Рис. 2.16 (с. 34). Дополнительный порт интерфейса указывается при настройке значения параметра Дополнительные порты (в нашем примере
– единственное значение номера дополнительного порта маршрутизатора изделия) с помощью экрана настройки параметров механизма агрегирования каналов связи – Рис. 2.10, с. 29). В этом случае 1-ый поступивший на обработку интерфейсом кадр будет направлен в 1-ый порт интерфейса, 2-ой – во 2-ой порт, 3- ий – в 1-ый порт, 4-ый – во 2-ой порт, 5-ый – в 1-ый порт и т.д.
Если интерфейс будет объединять (агрегировать) три порта (канала связи) маршрутизатора изделия (один основной и два дополнительных), то в этом случае 1-ый поступивший кадр будет направлен в 1-ый порт интерфейса, 2-ой – во 2-ой порт, 3-ий – в 3-ий порт, 4-ый – в 1-ый порт, 5-ый – во 2-ой порт, 6-ой – в 3-ий порт,
7-ой – в 1-ый порт и т.д.
Примечание. Отметим, что в последнем примере рассмотрен случай применения трех агрегированных портов интерфейса. Применение нечетного числа агрегированных портов
(каналов связи) на практике встречается редко. Обычно при использовании алгоритма распределения round-robin практикуется применение 2-х, 4-х или 8-ми агрегированных портов.
Алгоритм round-robin, механически перенаправляя очередной кадр в очередной канал связи (по циклу), не учитывает характеристик поступающего на обработку трафика. При этом существует вероятность того, что пакеты, передаваемые между отправителем и получателем по параллельным каналам связи, в случае даже незначительных задержек в канале могут быть перемешаны на приемной стороне тракта. Для отдельных приложений это вполне допустимо (например, для видеоприложений). Для каких-то приложений это недопустимо (например, у приложений, использующих TCP-протокол, нарушение последовательности принимаемых IP-датаграмм приводит к ретрансмиссии – разрыву существующего TCP-соединения и его повторному установлению, что нарушает работу приложения в целом). Для преодоления этой ситуации более подходящим представляется алгоритм balance-xor, описание которого приведено ниже.
Алгоритм BALANCE-XOR. Алгоритм применяется также, как и предыдущий, для повышения пропускной
способности тракта передачи данных между изделием и сетевым устройством-партнером.

Приложение Б. Интерфейсы с агрегированием каналов связи 229
Алгоритм обеспечивает балансировку нагрузки на агрегированные порты (каналы связи) интерфейса согласно значению хэш-функции, полученному в результате следующих вычислений: на первом этапе – получение результата операции XOR (сложение по модулю 2) над выбранными в соответствии с настроенными значениями параметра Критерии распределения пакетов (см. Рис. 2.10, с. 29) параметрами очередной порции информации, поступившей в интерфейс на обработку; на втором этапе – получение остатка от деления результата вычислений на первом этапе на число агрегированных интерфейсом портов (каналов связи). Результат вычислений указывает номер порта, в который должна быть отправлена обработанная интерфейсом поступившая очередная порция информации.
Распределение пакетов между агрегированными портами (каналами связи) определяется в результате следующих вычислений:
- на первом этапе – получение результата операции XOR (сложение по модулю 2) над выбранными в соответствии с настроенными значениями параметра Критерии распределения пакетов (подробнее см.
Рис. 2.10, с. 29) параметрами очередной порции информации, поступившей в интерфейс на обработку;
- на втором этапе – получение остатка от деления результата вычислений на первом этапе на число агрегированных интерфейсом портов (каналов связи). Результат вычислений указывает номер порта, в который должна быть отправлена обработанная интерфейсом поступившая очередная порция информации.
Алгоритм по-прежнему предназначен для параллельной загрузки разных агрегированных каналов связи интерфейса, но делать это алгоритм позволяет с учетом содержательной части пакета – его параметров, стремясь пакеты с похожей содержательной частью загружать в одно и то же гнездо интерфейса. Параметрами порции информации (IP-датаграммы, Ethernet-кадра) при этом являются значения, соответствующие значениям для очередной порции, выбираемым согласно выполненным ранее при настройке интерфейса установкам в ячейках таблицы